Deux vulnérabilités critiques zero-day sur les pare-feux Cisco ASA et Cisco FTD sont activement exploitées. Ces failles de cybersécurité concernent les configurations VPN, utilisées dans des milliers d’organisations pour sécuriser l’accès à distance. Face à cette menace, la CISA a déclenché une directive d’urgence pour obliger les agences fédérales à prendre des mesures immédiates. Une campagne d’exploitation avancée ciblant des infrastructures critiques est en cours. Découvrez comment vous protéger si vous utilisez des équipements Cisco ASA ou FTD.
Deux failles critiques sur les pare-feux Cisco ASA activement exploitées
Exploit de deux vulnérabilités zero-day identifiées comme CVE-2025-20333 et CVE-2025-20362
Le constructeur réseau Cisco a émis une alerte de sécurité concernant deux vulnérabilités zero-day qui affectent ses produits Cisco Secure Firewall ASA (Adaptive Security Appliance) et Cisco FTD (Firepower Threat Defense). Ces deux failles critiques sont déjà exploitées activement par des cybercriminels dans la nature.
Identifiée sous le numéro CVE-2025-20333, la première vulnérabilité affiche un score CVSS de 9,9. Elle permet à un pirate disposant de identifiants VPN valides d’exécuter du code arbitraire avec des droits root, à distance, en envoyant des requêtes HTTP(s) spécialement conçues.
La deuxième, CVE-2025-20362, avec un score CVSS de 6,5, permet à un agresseur non authentifié d’accéder à des endpoints URL restreints, également via des requêtes HTTP forgées, exposant ainsi des ressources sensibles sans authentification préalable.
Une chaîne d’exploitation pour contourner l’authentification
Les chercheurs estiment que les attaquants pourraient enchaîner ces deux failles pour contourner les mécanismes de sécurité, notamment l’authentification VPN, et parvenir à exécuter du code malveillant. Cette méthode rend la menace particulièrement dangereuse, puisque les pirates peuvent ainsi compromettre des systèmes sans laisser de trace flagrante dans les journaux d’authentification habituels.
Directive d’urgence de la CISA face à la menace
Une campagne active de compromission visée par la directive ED 25-03
En réponse à cette pression croissante, la CISA (Cybersecurity and Infrastructure Security Agency) a publié une directive d’urgence ED 25-03. Celle-ci oblige toutes les agences gouvernementales américaines à identifier les équipements vulnérables, analyser leur niveau de compromission, et appliquer des mesures correctives dans les 24 heures.
La CISA alerte sur une campagne en cours menée par un acteur menaçant avancé. Celui-ci tire parti des vulnérabilités zero-day pour obtenir une exécution de code à distance sans authentification, et va jusqu’à modifier la mémoire en lecture seule (ROM) afin de garantir la persistance des attaques à travers les redémarrages et mises à jour du système.
Le groupe ArcaneDoor et les malwares Line Runner et Line Dancer
Les agences de renseignement australienne (ASD), britannique (NCSC), canadienne (CCC) et américaine ont conjointement identifié cette activité malveillante comme étant liée au cluster ArcaneDoor. Ce groupe exploite des faiblesses dans des appareils réseau de différents fabricants, dont Cisco, pour déployer des malwares sophistiqués comme Line Runner et Line Dancer.
Le groupe, connu sous le nom d’identifiant UAT4356 ou Storm-1849, a réussi à modifier la ROM des équipements Cisco ASA dès 2024. Bien que les appareils Firepower bénéficient de la fonction Secure Boot pouvant détecter ces altérations, la présence de ces failles dans ces modèles reste très préoccupante.
Comment se protéger face à ces failles critiques Cisco
Mise à jour immédiate et vérification de compromission
Cisco a publié des correctifs de sécurité que les administrateurs systèmes doivent appliquer sans délai sur tous les équipements ASA et FTD concernés. Il est conseillé de vérifier manuellement les configurations VPN, les connexions actives, ainsi que toute modification suspecte de la ROM.
Pour les professionnels de la cybersécurité souhaitant aller plus loin dans la compréhension des attaques réseau et du hacking éthique, notre livre pour hacker peut constituer une ressource utile. Cet ouvrage vous permettra de mieux apprendre à hacker, identifier les vecteurs d’intrusion complexes comme ceux utilisés dans cette attaque, et améliorer vos connaissances pratiques sur les failles réseau.
Audit, segmentation réseau et supervision renforcée
Au-delà du patch, il est recommandé de réaliser un audit de sécurité sur les équipements ASA et FTD, de renforcer la segmentation du réseau et d’analyser les journaux de connexion à la recherche d’indices d’une exploitation. Le recours à des systèmes de détection d’intrusion (IDS/IPS) peut également permettre d’identifier des comportements suspects liés aux failles récemment découvertes.
Face à l’exploitation active de vulnérabilités Cisco, les entreprises ont tout intérêt à faire appel à des services de cybersécurité comme ceux proposés par CyberCare, afin de renforcer la détection, la remédiation et la prévention des attaques avancées.
